L’affaire de la très importante fuite de données de santé, qui concerne près de 500 000 patients français, connaît un nouveau rebondissement judiciaire. Dans un communiqué du 4 mars, la Commission nationale de l’informatique et des libertés (CNIL) fait savoir qu’elle a saisi le tribunal judiciaire de Paris pour obtenir le blocage d’un site web qui héberge les données médicales qui se sont retrouvées dans la nature.
Blocage d’un hébergeur donnant accès à un fichier piraté
On apprend également que le tribunal judiciaire de Paris a donné suite à la demande de la CNIL, qui est en première ligne dans ce dossier, compte tenu de la nature des données qui ont été exposées et de leur sensibilité. Le tribunal judiciaire de Paris a ainsi ordonné aux principaux fournisseurs d’accès à internet de bloquer l’accès au site litigieux, non nommé, pour limiter sa visibilité, en tout cas en France.
L’autorité administrative ne précise pas quels sont les opérateurs contraints de mettre en œuvre des moyens techniques pour empêcher leurs abonnés de se rendre sur le site, mais l’AFP indique qu’il s’agit des quatre plus gros : Orange, SFR, Bouygues Telecom et Free. Cela laisse filer entre les mailles du filet les FAI associatifs, par exemple, mais le fait est que ces quatre opérateurs-là constituent l’essentiel du marché.
Toujours selon l’agence de presse, qui a pu par ailleurs consulter le jugement du tribunal, il apparait que la CNIL a constaté que le fichier contenant les données de santé des 500 000 patients était proposé au téléchargement via un service d’hébergement gratuit de fichiers. Un lien de téléchargement était proposé sur un forum de discussion, permettant en théorie à n’importe qui de le récupérer.
Or, il apparait que le blocage a visé directement le service lui-même et non pas seulement le lien précis menant vers ledit fichier, parce que cette dernière option n’aurait pas permis de le cibler efficacement. Selon le jugement, la durée du blocage du site n’excédera pas les 18 mois. Selon nos constatations, néanmoins, le blocage n’est pas encore opérationnel, en tout cas chez l’un des quatre FAI concernés.
L’hébergeur en cause, est-il précisé, se sert du domaine de premier niveau réservé à l’île de Guernesey (« .gg »). Il est également indiqué que ce service s’en sert que depuis quelque temps, son domaine ayant été enregistré en juillet 2020. Par ailleurs, il est indiqué qu’il se sert des services de l’entreprise américaine Cloudflare, pour optimiser sa présence en ligne, mais que ce dernier n’a pas donné suite aux requêtes de la CNIL.
Dans cette affaire, la CNIL n’avait pas été prévenue en amont de l’incident. C’est par la presse que l’autorité de protection a découvert l’affaire. Depuis lors, ses services sont mobilisés pour procéder aux contrôles, afin de vérifier si les laboratoires respectaient les exigences de la loi en matière de protection des données de santé et, le cas échéant, si des mesures techniques ont été prises depuis pour les sécuriser.
À ce stade, trois opérations de contrôle ont été menées. Par ailleurs, une information aux personnes est en train d’être délivrée, afin que les victimes sachent ce qu’il s’est passé et quelle conduite il convient d’adopter pour se protéger. D’autres investigations sont en cours, tout comme une enquête judiciaire. La CNIL ajoute qu’elle se réserve la possibilité de demander d’autres mesures, en lien avec le parquet de Paris et l’ANSSI.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !